北京教委各直属单位信息安全等级保护工作培训

北京市教委各直属单位信息平安等级保护工作培训主讲:市公安局网监处信息平安等级保护办公室高媛2007年10月24日信息平安等级保护工作概述信息平安保护等级的划分2信息安全等级保护工作的流程3信息系统的定级工作4信息系统的备案工作5培训提纲1一、信息平安等级保护工作概述信息平安等级保护工作的定位信息平安等级保护是国家信息平安保障工作的根本制度、根本策略、根本方法。开展信息安全等级保护工作不仅是实现国家对重要信息系统重点保护的重大措施，也是一项事关国家平安、社会稳定和北京奥运会成功举办的政治任务。信息平安等级保护工作法律法规标准依据国家层面：?中华人民共和国计算机信息系统平安保护条例?〔1994年，国务院147号令〕?国家信息化领导小组关于加强信息平安保障工作的意见?〔2003年，中办27号文〕?关于信息平安等级保护工作的实施意见?〔2004年9月，公通字[2004]66号文件〕?信息平安等级保护管理方法?〔2007年6月，公通字[2007]43号文件北京市：?北京市公共效劳网络与信息系统平安管理规定?〔2005年11月,市政府第163号令〕?关于开展信息平安等级保护工作的通知?〔2006年3月〕?北京市开展信息平安等级保护工作的实施方案?〔2007年8月〕?北京市信息化促进条例?〔2007年9月通过，12月1日施行〕信息平安等级保护工作法律法规标准依据二、信息平安保护等级的划分信息系统平安保护等级的决定要素信息系统的平安保护等级由两个要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。受侵害的客体：一是公民、法人和其他组织的合法权益；二是社会秩序、公共利益；三是国家平安。对客体的侵害程度：一是造成损害；二是造成严重损害；三是造成特别严重损害。侵害国家平安的事项包括以下方面：影响国家政权稳固和国防实力；影响国家统一、民族团结和社会安定；影响国家对外活动中的政治、经济利益等侵害社会秩序的事项包括以下方面：影响国家机关社会管理和公共效劳的工作秩序；影响各种类型的经济活动秩序等；影响公共利益的事项包括以下方面：影响社会成员使用公共设施；影响社会成员获取公开信息资源等；影响公民、法人和其他组织的合法权益是指：由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。受侵害的客体的具体事项表达侵害程度是客观方面的不同外在表现的综合表达，因此，应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同。在针对不同的受侵害客体进行侵害程度的判断时，应参照以下不同的判别基准：如果受侵害客体是公民、法人或其他组织的合法权益，那么以本人或本单位的总体利益作为判断侵害程度的基准；如果受侵害客体是社会秩序、公共利益或国家平安，那么应以整个行业或国家的总体利益作为判断侵害程度的基准。如何确定对客体的侵害程度对客体的三种危害程度损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的资产损失，有限的社会不良影响，对其他组织和个人造成较低损害。严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的资产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的资产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。五个等级的划分第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家平安、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家平安。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家平安造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家平安造成严重损害。第五级，信息系统受到破坏后，会对国家平安造成特别严重损害。五级保护和监管

第一级信息系统运营、使用单位应当依据国家有关管理标准和技术标准进行保护。第二级信息系统运营、使用单位应当依据国家有关管理标准和技术标准进行保护。国家信息平安监管部门对该级信息系统信息平安等级保护工作进行指导。第三级信息系统运营、使用单位应当依据国家有关管理标准和技术标准进行保护。国家信息平安监管部门对该级信息系统信息平安等级保护工作进行监督、检查。第四级信息系统运营、使用单位应当依据国家有关管理标准、技术标准和业务专门需求进行保护。国家信息平安监管部门对该级信息系统信息平安等级保护工作进行强制监督、检查。第五级信息系统运营、使用单位应当依据国家管理标准、技术标准和业务特殊平安需求进行保护。国家指定专门部门对该级信息系统信息平安等级保护工作进行专门监督、检查。信息系统等级对照表三、信息系统平安保护工作流程1、系统定级和审批2、备案3、评估与整改建设4、等级测评5、监督检查3.信息系统平安评估与整改建设〔一〕信息系统平安建设整改〔?管理方法?第十一、十二、十三条〕第十一条:信息系统的平安保护等级确定后，运营、使用单位应当按照国家信息平安等级保护管理标准和技术标准，使用符合国家有关规定，满足信息系统平安保护等级需求的信息技术产品，开展信息系统平安建设或者改建工作。第十二条:在信息系统建设过程中，运营、使用单位应当按照?计算机信息系统平安保护等级划分准那么?〔GB17859-1999〕、?信息系统平安等级保护根本要求?等技术标准，参照?信息平安技术信息系统通用平安技术要求?〔GB/T20271-2006〕、?信息平安技术网络根底平安技术要求?〔GB/T20270-2006〕、?信息平安技术操作系统平安技术要求?〔GB/T20272-2006〕、?信息平安技术数据库管理系统平安技术要求?〔GB/T20273-2006〕、?信息平安技术效劳器技术要求?、?信息平安技术终端计算机系统平安等级技术要求?〔GA/T671-2006〕等技术标准同步建设符合该等级要求的信息平安设施。第十三条:运营、使用单位应当参照?信息平安技术信息系统平安管理要求?〔GB/T20269-2006〕、?信息平安技术信息系统平安工程管理要求?〔GB/T20282-2006〕、?信息系统平安等级保护根本要求?等管理标准，制定并落实符合本系统平安保护等级要求的平安管理制度。〔二〕有关技术标准和管理标准的简要说明?计算机信息系统平安保护等级划分准那么?强制性根底性标准?信息系统平安等级保护实施指南?过程控制?信息系统平安等级保护定级指南?管理标准?信息系统平安等级保护根本要求?具体要求?平安技术效劳器平安技术要求?关键设备3.信息系统平安评估与整改建设3.信息系统平安评估与整改建设〔三〕信息平安产品分等级使用管理〔?管理方法?第二十一条〕第三级以上信息系统应中选择使用符合以下条件的信息平安产品：〔一〕产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格；〔二〕产品的核心技术、关键部件具有我国自主知识产权；〔三〕产品研制、生产单位及其主要业务、技术人员无犯罪记录；〔四〕产品研制、生产单位声明没有成心留有或者设置漏洞、后门、木马等程序和功能；〔五〕对国家平安、社会秩序、公共利益不构成危害；〔六〕对已列入信息平安产品认证目录的，应当取得国家信息平安产品认证机构颁发的认证证书。4.信息系统平安等级测评第三级〔含〕以上信息系统运营使用单位信息系统整改建设完成后，应当按照?管理方法?要求选择符合管理标准和相关部门文件要求的测评机构，依据技术标准对信息系统平安等级状况开展技术测评，并出具测评报告。完成后上报等级保护工作主管部门。〔?管理方法?第十四条〕5.监督检查在各阶段工作中，相关职能部门和主管部门要加大对信息平安等级保护工作的监督检查力度，通过检查催促其落实等级保护各项平安管理制度和技术保护措施。在检查过程中，发现定级不准确、未按要求开展系统整改、未及时申请测评备案等问题要责令其限期整改，发现各类违法违规情况，要依法严肃处理。法律责任信息系统的运营、使用单位，尤其是重要信息系统和涉及国家秘密的信息系统的主管部门和运营、使用单位违反信息平安等级保护相关法律法规和政策规定的，造成严重损害的，由相关部门依照有关法律、法规予以处理。〔一〕未按本方法规定备案、审批的；〔二〕未按本方法规定落实平安管理制度、措施的；〔三〕未按本方法规定开展系统平安状况检查的；〔四〕未按本方法规定开展系统平安技术测评的；〔五〕接到整改通知后，拒不整改的；〔六〕未按本方法规定选择使用信息平安产品和测评机构的；〔七〕未按本方法规定如实提供有关文件和证明材料的；〔八〕违反保密管理规定的；〔九〕违反密码管理规定的；〔十〕违反本方法其他规定的。?管理方法?中第四十条具体罚那么?信息化促进条例?第四十五条：违反本条例规定，有以下行为之一的，由有关部门依照?中华人民共和国政府信息公开条例?、?中华人民共和国计算机信息系统平安保护条例?等有关规定责令改正，给予警告或者责令停机整顿，并对直接负责的主管人员和其他直接责任人员依法处理：〔一〕违反第十九条规定，未按照国家和本市的规定公开政务信息的；〔二〕违反第三十二条规定，网络与信息系统的建设单位和运行维护单位未依法进行平安保护等级备案、审批的；〔三〕违反第三十三条规定，未进行网络与信息系统平安建设或者改建工作，或者未进行网络与信息系统平安等级技术测评的。具体罚那么处分方式罚那么

罚款警告与通报批评

限期整改停机整顿信息系统运营使用单位

责任人

行政处分依法处理构成犯罪的，依法追究法律责任四、信息系统的定级工作信息系统平安保护等级责任划分“自主定级、自主保护〞与国家监管在等级保护工作中，信息系统运营使用单位和主管部门按照“谁主管谁负责，谁运营谁负责〞的原那么开展工作，并接受信息平安监管部门对开展等级保护工作的监管。运营使用单位和主管部门是信息系统平安的第一责任人，对所属信息系统平安负有直接责任；公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导，对重要信息系统平安负监管责任。定级工作的指导思想信息系统的平安保护等级是信息系统的客观属性，不以已采取或将采取什么平安保护措施为依据，也不以风险评估为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家平安、社会稳定、人民群众合法权益的危害程度为依据，确定信息系统的平安等级。定级工作的主要步骤定级是等级保护工作的首要环节，是开展备案、信息系统建设、整改、测评、监督检查等后续工作的重要根底。第一步，摸底调查，掌握信息系统底数第二步，确定定级对象第三步，初步确定信息系统等级第四步，信息系统等级评审第五步，信息系统等级的最终确定与审批作为定级对象的信息系统应具有如下根本特征：

〔一〕具有唯一确定的平安责任单位作为定级对象的信息系统应能够唯一地确定其平安责任单位。如果一个单位的某个下级单位负责信息系统平安建设、运行维护等过程的全部平安责任，那么这个下级单位可以成为信息系统的平安责任单位；如果一个单位中的不同下级单位分别承担信息系统不同方面的平安责任，那么该信息系统的平安责任单位应是这些下级单位共同所属的单位。第二步，确定定级对象〔二〕具有信息系统的根本要素作为定级对象的信息系统应该是配套的设备、设施按照一定的应用目标和规那么组合而成的有形实体。应防止将某个单一的系统组件，如效劳器、终端、网络设备等作为定级对象。〔三〕承载相对独立的业务应用定级对象承载“相对独立〞的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有一定的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。特别注意的是:起传输作用的根底网络要单独定级,等级可以参照在其上运行的信息系统的等级、网络的效劳范围和自身的平安需求确定适当的保护等级，不以在其上运行的信息系统的最高等级或最低等级为标准。只有同时满足上述三个条件，才可由本单位对其进行定级。第二步，确定定级对象第三步，初步确定信息系统等级信息系统的平安保护等级以信息系统的重要性和信息系统遭到破坏后对国家平安、社会稳定、人民群众合法权益的危害程度为依据，确定信息系统的平安保护等级。既要防止个别单位片面追求绝对平安而定级过高，也要防止为了逃避监管定级偏低。确定信息系统平安等级的依据依据?管理方法?直接确定信息系统等级依据?信息平安等级保护定级指南?要求进行信息系统等级确定等级决定要素与初定等级的关系受侵害的客体

对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级业务信息平安和系统效劳平安信息系统与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息平安和系统效劳平安两方面确定。对客体的侵害外在表现为对定级对象的破坏，其危害方式表现为对信息平安的破坏和对信息系统效劳的破坏，其中：信息平安是指确保信息系统内信息的保密性、完整性和可用性等；系统效劳平安是指确保信息系统可以及时、有效地提供效劳，以完成预定的业务目标；由于业务信息平安和系统效劳平安受到破坏所侵害的客体和对客体的侵害程度可能会有所不同，在定级过程中，需要分别处理这两种危害方式。信息平安和系统效劳平安受到破坏后，可能产生以下危害后果：影响行使工作职能；导致业务能力下降；引起法律纠纷；导致财产损失；造成社会不良影响；对其他组织和个人造成损失；其他影响。业务信息平安和系统效劳平安每个信息系统的定级流程3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体7、系统服务安全等级4、业务信息安全等级8、定级对象的安全保护等级依据表1依据表21、确定定级对象确定信息系统的平安保护等级1、确定业务信息平安等级业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级2、确定系统效劳平安等级系统服务安全被破坏时所侵害的客体

对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级3、信息系统平安保护等级由确定系统效劳平安等级由上述两个等级的较高者决定。〔取高的原那么〕确定信息系统的平安保护等级系统等级的变更在信息系统的运行过程中，平安保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更，尤其是当状态变化可能导致业务信息平安或系统效劳受到破坏后的受侵害客体和对客体的侵害程度有较大的变化，可能影响到系统的平安保护等级时，应根据以上定级方法重新定级。第四步，信息系统等级评审在信息系统平安保护等级确定过程中，可以聘请专家进行咨询评审，并出具定级评审意见。对拟确定为第四级以上信息系统的，运营使用单位或者主管部门应当请国家信息平安保护等级专家评审委员会评审，出具评审意见。当专家意见与运营使用单位或者主管部门不一致时，以运营使用单位或者主管部门意见为准。第五步，等级的最终确定与审批信息系统运营使用单位参考专家定级评审意见，最终确定信息系统等级，形成?定级报告?。信息系统运营使用单位有上级主管部门的，应当经上级主管部门对平安保护等级进行审核批准。主管部门一般是指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统，那么必须由其上级主管部门审批，确保同类系统或分支系统在各地域分别定级的一致性。定级报告的编制〔一〕定级报告的定义定级报告是为详细了解和掌握定级过程情况由信息系统运营使用单位负责填写的文档。定级报告要在信息系统备案时一并提交。信息系统运营使用单位在起草定级报告时可以请技术支持单位协助。定级报告的编制〔二〕定级报告的构成和起草1、信息系统描述简述确定该信息系统为定级对象的理由。包括：该信息系统所承载业务的主管单位和部门，该信息系统具有信息系统的根本要素〔有主机、网络及相关配套设施构成的人机系统〕，该信息系统承载着独立或单一的业务应用，业务应用主要包括哪些，各包含哪些功能等。2、信息系统平安保护等级确实定〔1〕业务信息平安保护等级确实定。第一步：简要描述信息系统所处理的主要业务信息，包括各项业务的主要数据项有哪些等。第二步：确定业务信息受到破坏后所侵害的客体第三步：确定对客体的侵害程度第四步：查表确定业务信息平安等级定级报告的编制〔二〕定级报告的构成和起草2、信息系统平安保护等级确实定〔2〕系统效劳平安保护等级确实定第一步：简要描述系统的效劳范围、效劳对象、效劳要求等等。第二步：确定系统效劳受到破坏后所侵害的客体第三步：确定对客体的侵害程度第四步：查表确定系统效劳平安等级〔3〕信息系统的平安保护等级由业务信息平安等级和系统效劳平安等级较高者决定。定级报告演示五、信息系统的备案工作?管理方法?中对备案的规定?管理方法?第十四条中规定：已运营〔运行〕的第二级以上信息系统，应当在平安保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。备案需要提交的文件材料?信息系统平安等级保护备案表?〔纸制盖章和电子版〕

保护等级为二级的信息系统运营、使用单位到属地、保卫关系所属公安机关备案需要提交以下材料：?信息系统平安等级保护定级报告?〔纸制盖章和电子版〕备案需要提交的文件材料系统平安组织机构和管理制度系统平安保护设施设计实施方案或者改建实施方案系统使用的信息平安产品清单及其认证、销售许可证明主管部门审核批准信息系统平安保护等级的意见保护等级为三级(含)以上的信息系统运营、使用单位到属地、保卫关系所属公安机关备案需要提交以下材料：系统拓扑结构及说明测评后符合系统平安保护等级的技术检测评估报告信息系统平安保护等级专家评审意见?信息系统平安等级保护备案表?〔纸制盖章和电子版〕?信息系统平安等级保护定级报告?〔纸制盖章和电子版〕?信息系统平安等级保护根本要求?中对：系统平安保护设施设计实施方案或者改建实施方案系统平安组织机构和管理制度有详细的规定，同时考虑到运营单位对系统的设计、建设和整改时间花费较大，所以统一要求：三级〔含〕以上信息系统除?备案表?、定级报告及其电子版数据外，其它的备案材料在系统完成整改和测评后30日内提交

备案的审核依据受理备案规定，受理备案的公安机关需对接收的备案材料进行审核，具体审核内容是：备案符合性审查。是否按照备案要求填写了相应的表格和文档并提供相应的电子版文档。备案表完整性审查。备案表中表一、表二、表三所列内容是否填写完整，表四中所要求的附件内容是否齐全。定级准确性审查。提交备案的各个信息系统平安保护等级定级是否准确。备案表由四张表单构成：表一是单位信息，每个单位填写一张；表二是信息系统根本信息；表三是信息系统定级信息；〔表二、表三每个信息系统填写一张〕表四为第三级以上信息系统需要在系统整改、测评等工作完成后再行提交的信息。表二、三、四可以复印使用，使用时要注意编号。如一个单位有6个信息系统，那么只需要填写一张表一，分别填写六个表二、三、四。备案表的构成备案表的保存方式备案表一式二份，由备案单位和受理备案的公安机关分别盖章后，一份由备案单位保存，一份交受理备案公安机关存档。备案表中有关数据项的说明备案表中有关数据项的说明二、填表范围：本表由第二级〔含〕以上信息系统运营使用单位或主管部门〔以下简称“备案单位〞〕填写；如某单位共有6个信息系统进行备案，那么填写过程中要遵循表二〔1/6〕、表二〔2/6〕……表二〔6/6〕的编号和命名规那么。如果6个信息系统中有3个是第三级以上信息系统，那么表四的编号要和同一信息系统的表二、三的编号保持一致。如，单位共有6个信息系统，其中有一个第三级以上信息系统A，那么该单位需要填写1张表一，6张表二和表三，1张表四。假设A系统表二的编号为表二〔2/6〕，那么相对应的表四的编号也应当是表四〔2/6〕。六、备案单位：本表封面中的“备案单位〞填写运营使用信息系统的法人单位全称。七、受理备案单位：本表封面中的“受理备案单位〞填写受理备案民警所在部门的名称。此项由受理备案的公安机关负责填写。八、行政区划代码：表一中04项“行政区划代码〞中6位代码是指单位所在地县(区、市、旗)的代码，该代码需与?中华人民共和国行政区划代码?〔GB2260-1995〕一致。以北京市举例，标准6位地址码的构成如下：

110000北京市，110101东城区……。备案表中有关数据项的说明九、单位负责人：表一中的“单位负责人〞是指负责本单位信息平安的领导。十、责任部门：表一中的“责任部门〞是指单位内负责信息系统平安的部门。如果单位内的信息系统分别由不同的责任部门管理，那么可以分别填写表一。责任部门联系人：表一中的“责任部门联系人〞是指本单位开展信息平安等级保护工作的联系人。如果责任部门联系人有多个，那么可以分别填写表一。备案表中有关数据项的说明十一、隶属关系：表一中第08项“隶属关系〞是指本单位隶属于哪一级行政管理单位，按照国家标准?单位隶属关系代码?(GB/T12404-1997)分为：中央、省、市(地区)、县、街道、镇、乡、社区(居委会)、村民委员会和其他。〔1〕各级政府(中央、省、地、县、乡、镇)、党委、人大、政协等机关的隶属关系填写本级。如：省政府的隶属关系填“省〞。〔2〕中央：包括人大常委会、政协常委会、中共中央、国务院直属机构和办事机构、各部委及其直属机构等。中央与地方双重领导的单位，以领导为主的一方来划分中央属或地方属。隶属于“中央〞的单位所属的集体企业，隶属关系选“其他〞，并在其后填写所隶属的单位名称；省属以下的企业(单位)所属的企业(单位)，其隶属关系与企业(单位)本身的隶属关系一致。〔3〕省：包括自治区、直辖市直属的行政管理单位；〔4〕地区：包括自治州、盟、省辖市和直辖区直属的行政管理单位；〔5〕县：包括地、州、盟辖市、省辖市辖区、自治县、自治旗、县级市直属的行政管理单位；〔6〕街道：指经国务院批准设置的建制市的市区街道办事处等管理单位；〔7〕镇：指经省、自治区、直辖市人民政府批准设置的建制镇政府所辖行政管理单位；〔8〕乡：指乡一级政府及直属行政管理单位；〔9〕其他：不隶属上述各级的企业〔单位〕选本栏。例如：无主管部门的单位、本省(自治区、直辖市)在外省(自治区、直辖市)的办事机构所开办的第三产业等单位等。备案表中有关数据项的说明单位类型：党委机关是指隶属于各级中国共产党委员会及其所属专门部门。政府机关是指隶属于各级人民政府的部门或单位。行业类别：该项为单项选择项。以单位主要从事的业务为依据进行选择，如公安院校，那么应选择教育而非公安。信息系统总数：是指本单位内所拥有的信息系统个数，包括第一级信息系统。系统名称：表二中“系统名称〞是指信息系统进行立项建设或有明文规定的全称。备案表中有关数据项的说明十二、系统编号：由备案单位给出的本单位备案信息系统的编号。备案单位所属信息系统编号不能重复；系统承载业务情况：〔1〕业务类型：该项为单项选择项。是指信息系统所承载的主要业务。其中1生产作业是指：主要为完本钱单位生产直接提供效劳的。2指挥调度是指：主要用于本单位内进行指挥、调度等工作的。3管理控制是指：主要进行管理工作的。4内部办公是指：主要为单位内部办公提供效劳的。5公众效劳是指：主要为社会公众提供效劳的。〔2〕业务描述：是指系统所承载业务的具体描述，主要包括系统所承载的业务信息包括哪些，信息系统的主要功能等。系统效劳情况：〔1〕效劳范围：该项为单项选择项。如果信息系统跨全国的所有省，那么选择10全国，如果没有跨全国所有省，那么选择11跨省，同时填写具体的跨省数。跨地〔市、区〕类似。〔2〕效劳对象：该项为单项选择项。单位内部人员：是指仅为本单位内部人员效劳。社会公众人员：是指为社会群众提供效劳。两者均包括：是指既包括单位内部人员也包括社会公众人员。如果仅为某些特定人群效劳，请选择其它，并填写具体效劳的对象名称。备案表中有关数据项的说明十三、系统网络平台：〔1〕覆盖范围：该项为单项选择项。1局域网：信息系统所依托的网络结构是在某一区域内由多台计算机互联成的计算机组。“某一区域〞指的是同一办公室、同一建筑物、同一公司和同一学校等；2城域网：是指该信息系统所依托的网络是一种大型的局域网，通常使用与局域网相似的技术。它可以覆盖一组邻近的公司办公室和一个城市，既可能是私有的也可能是公用的。比较常见的一个城市的政府公务网、教育城域网等；3广域网：是指信息系统所依托的网络是一种跨越大的、地域性的计算机网络的集合。通常跨越省、市，甚至一个国家；如上述三个选项均不是，请选择其他，并在其后的横线中填写具体的网络覆盖范围类型名称。〔2〕网络性质：1业务专网：是指信息系统所依托的网络是单位为开展某项业务专门架设或租用专门线路构成的；2互联网：是指承载信息系统的网络是完全依托互联网〔Internet〕的。备案表中有关数据项的说明系统互联情况：该项为多项选择项。1与其它行业系统连接：是指该信息系统与本行业以外的其他行业的信息系统进行连接或共享数据。2与本行业其他单位系统连接：是指该信息系统与行业内其他单位的信息系统进行连接或共享数据。3与本单位其他系统连接：是指该信息系统与本单位内的其他信息系统进行连接。如果上述选项均不是，那么选择其它，并在其后的横线中注明具体的互联情况。备案表中有关数据项的说明十四、关键产品使用情况：〔1〕产品类型：是指信息系统〔包括网络〕中使用的信息技术产品的类型，其中平安专用产品：是指根据?计算机信息系统平安专用产品检测和销售许可证管理方法?规定，用于保护计算机信息系统平安的专用硬件和软件产品，主要包括：扫描类产品〔包括入侵检测、防御等产品〕，防雷产品，防火墙，数据完整类〔包括身份认证、访问控制、签章、指纹识别等〕，网络平安〔包括网吧平安管理、审计产品等〕，病毒产品等。网络产品：是指除上述平安产品外的其它网络产品，主管包括：路由器、网关、网闸等。操作系统：是指管理计算机系统全部硬件、软件资源及数据资源，控制程序运行，改善人机界面，为其它应用软件提供支持等的，使计算机系统所有资源最大限度地发挥作用，为用户提供方便的、有效的、友善的效劳界面的专用软件，常见的操作系统有Windows系列，Linux系列，Unix系列等；数据库：是指帮助用户依照某种数据模型组织起来并存放数据的软件，这里主要指数据库软件。常见的数据库软件有Oracle、Sybase、DB2、SQLserver、Access、MySQL、BD2等；效劳器：又叫主机。主要是为信息系统集中提供各种类型效劳的主机。备案表中有关数据项的说明〔2〕数量：软件产品的数量按购置的套数算，不以实际安装的台数计算。硬件产品的数量以购置的台〔件〕数计算，如果没有那么数量填0。〔3〕使用国产品率：是指信息系统中使用国产的某类信息技术产品数量占使用该类信息技术产品总数量的比例。全部使用，是指该信息系统中使用的该类信息技术产品全都是国产品〔品牌、型号等可以不同〕。全部未使用，是指该信息系统中使用的该类信息技术产品全都不是国产品。局部使用率，是指当某类产品局部使用国产品时，国产品的使用率。以某类操作系统为例，如某信息系统的主机〔效劳器〕上共使用了3套操作系统，其中微软操作系统2套，红旗操作系统1套，那么该信息系统中使用操作系统的国产品率就是33%〔1/3〕，再如某信息系统中共使用了20个路由器，其中10个国内产品，10个国外产品，此外还使用了20个网关，其中15个国内产品，5个国外产品，那么该信息系统中使用网络产品的国产品率就是62.5%〔10+15/20+20〕。国产品是指该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股，在中华人民共和国境内具有独立的法人资格，产品的核心技术、关键部件具有我国自主知识产权。备案表中有关数据项的说明十五、系统采用效劳情况：是指信息系统在规划、设计、建设、运维、终止等生命周期的各个阶段采用的由供给商、组织机构或人员所执行的一系列的平安过程或任务。〔1〕效劳类型。等级测评：是指依据等级保护测评标准对相应等级信息系统开展的标准符合性测评，测评完成后出具符合相应等级要求〔符合?根本要求?〕的测评报告，报公安机关备案；风险评估：是指信息平安风险评估；灾难恢复：是指将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态，并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态的活动和流程；应急响应：是指对影响计算机系统和网络平安的不当行为〔事件〕进行标识、记录、分类和处理，直到受影响的效劳恢复正常运行的过程；系统集成：是指系统集